Christine Schmitt

Unterstützung bei der strategischen und technischen Umsetzung der NIS2-Richtlinie (§30 BSIG) in einer klassischen ICS/SCADA-Umgebung mit Produktionslinien, Verpackungsmaschinen, Fördertechnik, PLC/SCADA-Infrastruktur, Historian-Servern und teilsegmentiertem OT-Netzwerk.

Schwerpunkte der Tätigkeit:

• Leitung und Durchführung der NIS2-Gap-Analyse (Abgleich der 10 Maßnahmen gem. §30 BSIG)
• Entwicklung einer NIS2-konformen OT-Zielarchitektur 2026 (DMZ-Design, Jump-Host-Konzept, Logging, Benutzer-/Passwortkonzept, MFA-Rollout, Kryptografie)
• Überarbeitung und Management-Freigabe-Vorbereitung der OT-Security-Policies
• Planung und Koordination weiterer Projektphasen: OT-Asset-Inventarisierung, Netzwerkaufnahme, Kritikalitätsbewertung, Risikoanalyse, Maßnahmenpriorisierung, Pilotlinien-Umsetzung und Rollout

Fokus liegt auf praxisnahen, produktionsverträglichen Lösungen unter Berücksichtigung von Verfügbarkeitsanforderungen, Safety-Aspekten und Legacy-Systemen. Arbeiten orientieren sich an IEC 62443, ISO 27001 und BSI-ICS-Leitlinien, OT-Zonen-/Conduit-Modellierung, sichere Fernwartung, Logging-Konzepte, Netzwerksegmentierung, compensating controls für nicht patchbare Systeme.

Das Projekt legt die Grundlage für revisionssichere NIS2-Compliance bis Mitte 2026 und ist Pilotprojekt innerhalb der Unternehmensgruppe.

NIS2-Compliance-Strategie & Umsetzung, OT-Gap-Analyse nach §30 BSIG, OT-Zielarchitektur (IEC 62443 Zonen/Conduits), DMZ-Design & IT/OT-Segmentierung, Jump-Host & sichere Fernwartung, OT-Logging-Konzepte & Auswertung, OT-Asset-Inventarisierung & Kritikalität, Maßnahmenpriorisierung (Quick Wins), OT-Security-Policies & Management-Freigabe, Compensating Controls für Legacy-PLC

IEC 62443 (SL-1 bis SL-3), ISO 27001 / ISMS (ConSense), NIS2-Richtlinie (§30 BSIG – 10 Maßnahmen), BSI ICS-Sicherheitskompendium, SCADA-Systeme, Historian-Server, OT-Netzwerkkomponenten, OT-Firewalls, Jump-Host-Lösungen, Logging-Tools

Felleskjøpet Agri SA, ein führender norwegischer Agrardienstleister, beauftragte die Einführung eines ISMS, um regulatorische Anforderungen zu erfüllen und die Sicherheits- und Compliance-Strukturen nachhaltig zu stärken.

Das Projekt umfasste die Konzeption, Implementierung und Operationalisierung eines vollständig auditierbaren ISMS, die Integration automatisierter Sicherheitsprozesse sowie die Vorbereitung auf externe Prüfungen durch Aufsichtsbehörden.

• Aufbau eines unternehmensweiten ISMS-Frameworks auf Basis von ISO 27001, NIST CSF und NIS2-Anforderungen, Definition von Rollen, Verantwortlichkeiten und Governance-Strukturen
• Erstellung und Harmonisierung von ISMS-Kernrichtlinien, Sicherheitsprozessen, Risikomanagementrichtlinien und Reportingstrukturen
• Sicherstellung der Auditfähigkeit durch vollständige, revisionssichere Dokumentation und Definition von Kontrollmechanismen
• Integration von zur Automatisierung zentraler ISMS-Prozesse (z. B. Risikomanagement, Vorfallmanagement, Change Requests), Aufbau eines Dashboards zur Echtzeit-Überwachung der Sicherheitslage
• Enge Zusammenarbeit mit Management, IT-Sicherheitsverantwortlichen, Betriebsleitern und externen Prüfern zur Abstimmung von Anforderungen und zur erfolgreichen Umsetzung
• Durchführung strukturierter Risikoanalysen, Bewertung von Schutzbedarfen und Ableitung technischer sowie organisatorischer Maßnahmen zur Risikominimierung
• Unterstützung beim Aufbau einer Sicherheitskultur durch Schulungsmaßnahmen und Awareness-Kampagnen für Fachbereiche und Führungskräfte.

Projektergebnis

• Aufbau eines robusten, auditfähigen ISMS, das alle Anforderungen der NIS2-Richtlinie erfüllt

• Reduzierung der Sicherheitsrisiken durch strukturierte Prozesse, automatisierte Workflows und klar definierte Verantwortlichkeiten

• Verbesserte Audit- und Reportingfähigkeit sowie Echtzeit-Transparenz über Sicherheits- und Compliance-Status

• Nachhaltige Verankerung von Informationssicherheit in die Unternehmensorganisation

Kenntnisse: NIS2, Purdue Model, IAM, ISMS, ISO 27001

Eingesetzte Produkte: ServiceNow (GRC & SecOps), Microsoft 365, Confluence, Jira

Projektbeschreibung Im Rahmen einer priorisierteninternen Auditinitiative wird die Reife und Wirksamkeit derOT-Sicherheitsmaßnahmen bei Nye Veier AS bewertet. Hintergrund ist diewachsende Bedrohungslage für kritische Infrastrukturen und die darausresultierende Notwendigkeit, die Cyber-Resilienz des Unternehmens signifikantzu erhöhen. Ziel ist dieIdentifikation von Schwachstellen, die Ableitung konkreterVerbesserungspotenziale und die Stärkung der organisatorischen und technischenSicherheitsstrukturen.

Aufgaben & Verantwortlichkeiten

• Fachliche Unterstützung der internen Auditprozesse mit Fokus auf OT Security Governance, Risikomanagement und Kontrollumgebungen
• Beratung zu Best Practices und internationalen Sicherheitsstandards (IEC 62443), um eine umfassende und fachlich fundierte Prüfung sicherzustellen
• Identifikation von Risiken im Zusammenhang mit Organisationsstrukturen, Zugriffsmanagement, Systemabhängigkeiten und Prozessverantwortlichkeiten
• Entwicklung praxisnaher, risikobasierter Empfehlungen in Abstimmung mit Geschäftsanforderungen, regulatorischen Vorgaben und aktuellem Sicherheitsreifegrad
• Sicherstellung der technischen Präzision und Umsetzbarkeit der Audit-Feststellungen zur Unterstützung nachhaltiger Verbesserungen der Sicherheitslage

Projektergebnis

• Erstellung einer faktenbasierten Bewertung der OT-Sicherheitsreife, die zentrale Schwachstellen in Governance und operativen Kontrollen aufzeigt
• Entwicklung zielgerichteter Verbesserungsmaßnahmen und klare Definition von Rollen und Verantwortlichkeiten
• Reduzierung der Abhängigkeit von externen Dienstleistern durch Stärkung interner Kompetenzen und Prozesse
• Verbesserung der Fähigkeiten zur Erkennung, Reaktion und Wiederherstellung nach Cybervorfällen
• Erhöhung der Resilienz und Schutzfähigkeit kritischer Infrastrukturen

Kenntnisse: ISO/IEC 62443, OT-Security, Endpoint Encryption, Endpoint Security, Öffentliche Strasseninfrastruktur, Verkehrsleitsysteme, Telematik, Supply Chain Security, OT Security Governance, Risikoanalyse, Auditunterstützung, Sicherheitsreifegradbewertung, Risikobasierte Handlungsempfehlungen

Projektbeschreibung SSI Schäferverfolgte das Ziel, seine weltweiten Systemlandschaften durch eine hybrideiPaaS-Architektur (Integration Platform as a Service) strategisch zukonsolidieren.

Im Rahmen des Projekts wurde eine Integrationsplattform geplant und im PoCgetestet, die rund 250 Systeme und mehr als 5.000 Schnittstellen an 69internationalen Standorten miteinander verbindet. Durch dieKombination von SAP Integration Suite (SAP IS) für Core-SAP-Prozesse und MuleSoftfür Non-SAP-, Cloud- und externe Partnerintegrationen soll eine skalierbare,sichere und zukunftssichere Integrationslandschaft entstehen, die Governance,Interoperabilität und Effizienz deutlich verbessert. Aufgaben & Verantwortlichkeiten

• Steuerung des Vendor-Selection- und PoC-Prozesses für SAP CPI und MuleSoft; Definition technischer, geschäftlicher und sicherheitsrelevanter Bewertungskriterien

• Entwicklung strategischer Entscheidungsrahmen und Steuerung der Zusammenarbeit mit Partnern wie NTT DATA, Salesforce und SAP

• Leitung der unternehmensweiten Integration Governance und plattformübergreifenden Delivery, abgestimmt auf die globale IT-Strategie und Compliance-Anforderungen

• Anwendung eines PI-basierten agilen Delivery-Ansatzes zur Steuerung komplexer Integrationsabhängigkeiten und Beschleunigung des Rollouts über verschiedene Business Units hinweg

• Koordination des Stakeholder-Managements, Risikomanagement und Prozessstandardisierung zur Sicherstellung langfristiger Interoperabilität und Performance

• Unterstützung beim Aufbau eines zentralen Frameworks für Security, Compliance und Monitoring im Rahmen der globalen Integrationsstrategie

Projektergebnis

• Aufbau eines standardisierten und modularen Integrations-Frameworks, das schnelles Partner-Onboarding, Cloud-Adoption und Skalierbarkeit für internationale Business Units ermöglicht
• Stärkung von Integration Governance, Security und Compliance
• Berechnung der Reduktion der Gesamtbetriebskosten (TCO) für eine Konsolidierung und Standardisierung der Integrationslandschaft
• Verbesserung der Interoperabilität, Betriebseffizienz und Resilienz der globalen IT-Infrastruktur
• Planung einer zukunftssicheren Integrationsarchitektur als Basis für digitale Transformation und neue Geschäftsmodelle

Kenntnisse: API-First-Architektur, Enterprise-Integrationsmuster, Sicherheits- und Compliance-Standards, ISO 27001, Governance für Enterprise-Integration, Anbieterauswahl, Agile Delivery (PI-basiert), Prozessstandardisierung, Risikomanagement

Eingesetzte Produkte SAP Integration Suite (CPI), MuleSoft, Salesforce, Microsoft 365, Confluence, Jira

• Führte Cybersecurity-Risikoanalysen und Compliance-Reviews nach IEC 62443-Standards für einen Pilotversuch zur Digitalisierung der Bahnsignaltechnik im Stuttgart 21-Projekt durch.
• Erstellte Sicherheitsrichtlinien nach den Prinzipien „Cybersecurity by Design“ und pflegte umfassende Audit-Dokumentationen.
• Setzte IEC 62443, CENELEC 50128, CENELEC 50129, Compliance-Tools, Penetrationstest-Planung und IBM Rational DOORS ein.

• Leitete die funktionalen Anforderungen und die Projektplanung für die Cloud-Migration und die Headless-eCommerce-Entwicklung mit Frontastic.
• Definierte die Geschäftsstrategie und die technischen Anforderungen für Predictive-Maintenance-Plattformen im Bergbau und in der Schwermaschinenindustrie.
• Entwarf IBM-Blockchain- und BigCommerce-Lösungen, führte Design-Sprints und Risikoanalysen durch und erstellte technische Dokumentation.

• Aufnahme und Anforderungsanalyse für die SAP S/4HANA Predictive-Analytics-Plattform auf AWS im Medienbereich.
• Interim-Programmmanagement zur Koordination der Marktbereiche für Predictive-Maintenance-Lösungen im Energiesektor.
• Leitete SCM-Outsourcing-Projekte und richtete ein PMO für Lieferkettenlösungen bei der UBS Bank ein.

• Entwickelte das Swissmedic-Portal für Zulassungen therapeutischer Produkte und bearbeitete jährlich 35.000 Genehmigungen.
• Leitete Upgrades von SAP R/3 auf ERP 6.0 für Bosch Power Tools.
• Migrierte SAP-CRM-Daten für den internen Kundenservice von VW über 2000 Standorte hinweg.

• Entwarf Kundenabrechnungsprozesse und Middle-Office-Outsourcing in SAP ECC und CRM.
• Verantwortete die IT-Infrastruktur einer Bank und implementierte eine MPLS-Netzwerkarchitektur.
• Leitete SAP-CRM-Einführungsprojekte und Systemarchitekturen für Bosch Customer Contact Centers in Deutschland und den Niederlanden.